Ciberseguridad: “En Europa te multarían con hasta US$ 20 millones (por la fuga de datos personales)”

Esta tendencia es respaldada por otros informes de empresas de ciberseguridad. Por ejemplo, Kaspersky indicó que los ciberataques en el Perú crecieron en 71% en los primeros 8 meses de 2021, a comparación de 2020, así como que nuestro país tiene el tercer promedio más alto de ataques por minuto (96).

Por ello, El Comercio entrevistó al gerente general de IBM Perú, Álvaro Santa María, para que nos detalle cuáles son los motivos de esta tendencia y por qué el Perú es uno de los países con más ciberataques.

MIRA: Ransomware: costos por secuestro de datos alcanzó los US$ 20 mil millones en el mundo

—¿Por qué el Perú es uno de los principales objetivos de los cibercriminales en América Latina?

Por primera vez, el Perú aparece dentro de los países con mayor incidencia de ataques, comparado con países grandes como Brasil o México. Es un punto importante ver a nuestro país en esa lista, definitivamente, con un crecimiento muy alto año a año.

¿Por qué Perú es un objetivo? Es una lectura personal: los ciberdelincuentes no necesariamente buscan el botín más grande, sino el menos protegido. Creo que el hecho de que el Perú esté en ese ránking negativo de los países con mayor índice de ataques nos debe preocupar. Si mi lectura es correcta, significa que el nivel de protección que tiene nuestro mercado, en promedio, en cuanto a información, protección de esta y de dispositivos, etcétera, está debajo del promedio de la región. Entonces yo creo que ese es un indicativo de qué tenemos que acelerar para que esta historia no se repita en el 2022.

MIRA: Instagram: NGL, la app para preguntas y respuestas puede poner en peligro tus datos personales

—¿Por qué la pandemia acrecentó este porcentaje de ciberataques en el Perú?

Claramente es un efecto de la pandemia el incremento general en ciberataques. Se incrementó exponencialmente a raíz de la pandemia porque hoy en día la interacción de las empresas con sus empleados, con sus clientes, con su ecosistema, con su cadena de suministros; es decir, la interacción por medios digitales es mucho mayor. De hecho, muchas empresas se tuvieron que adaptar muy rápidamente y obviamente no pusieron la seguridad primero. Se adaptaron primero y fueron corrigiendo brechas de seguridad en el camino. Primero dieron los accesos, dieron la facilidades para poder seguir operando y en el camino fueron mejorando sus controles y procesos de seguridad. Esto ha generado una exposición. El hecho de llevar cargas a la nube, de tener ambientes híbridos, también incrementa la superficie de ataque.

La integración con proveedores o asociados, integración electrónica, interacción digital, genera una exposición importante. Pues pueden entrar a tu información, a tu sistema, a tus aplicaciones, vía alguien que tú no estás seguro si mantiene el mismo nivel de protección o estándares de seguridad que tú tienes. De hecho, en Ecuador hubo un caso así: una entidad financiera fue atacada, tuvo una brecha de seguridad a través de un proveedor. Fue atacado el proveedor y a través de la integración que tenían, entraron a esta entidad financiera.

MIRA: Ciberseguridad: 66% de los padres no saben si sus hijos han sido víctimas de ciberataques

—¿Cómo se puede combatir este incremento de ciberataques en el Perú?

Lo primero es tomar conciencia, tanto a nivel de empresas como de personas. Tomar conciencia del riesgo que realmente implica el aspecto de ciberseguridad. Si haces una encuesta a empresas, te aseguro que 9 de 10 casos te va salir ciberseguridad dentro de los 3 ó 4 factores más importantes que pueden afectar sus operaciones. Eso no pasaba hace seis años, por ejemplo.

Entonces, tomar conciencia de eso, del impacto que puede tener una brecha de seguridad, ya seas un banco o una entidad en cualquier industria y de cualquier tamaño. El ransonware ha sido 1 de cada 3 ataques del 2021. Es triste usar esta frase, pero el ransomware ha democratizado la ciberseguridad. Te lo pueden hacer a ti en tu computadora personal o le pueden hacer ransomware a un cliente, a una empresa muy grande.

Lo segundo es la educación. Analizar cómo es el gobierno de seguridad, cómo son los procesos de seguridad, qué servicios, plataformas o herramientas tengo para gestionar amenazas, para proteger información o para responder a incidentes. En ciberseguridad es muy importante dar el acceso correcto a la persona correcta, para tener la información correcta en el momento correcto. Es el concepto de ‘Zero trust’: no confiar en nadie, desconfiar de todos.

Entonces primero demuéstrame quién eres. Así sea el gerente general, demuéstrame que lo eres, a qué información estás accediendo, para qué y en qué momento. Es diferente que accedas al mediodía que a las 3 de la mañana, ¿no? Desde qué entorno, bajo qué condiciones. Es diferente que sea desde Lima, a que accedas desde Rusia o China. Entonces, todo eso es analizado y se deja pasar o no. Ese acceso es un análisis de entorno de todas las condiciones que se dan. Partes de no confiar en nadie, de no darle acceso a nadie, y abres la puerta a esa persona que sí cumple ciertas condiciones.

Finalmente, las regulaciones. En cuanto a protección y tratamiento de la información, tiene que ser bastante más rígido en nuestro país. Para que de algún modo obligar a que las empresas también suban sus estándares, en cuanto a gestión de la información y, sobre todo, la protección de la información de las personas.

MIRA: Criptomonedas: detectaron casi 50 mil intentos de robo hacia billeteras virtuales tan solo en abril

—¿Cómo puede una empresa llevar a los cibercriminales ante las autoridades correspondientes?

Generalmente son mafias que operan internacionalmente. No es que el hacker está acá en Lima, en Arequipa, en Chiclayo o en alguna ciudad del país. Los ataques realmente son de mafias internacionales que operan en diferentes partes del mundo y lanzan ataques masivos o ataques dirigidos, pero no están acá. Entonces, creo que detectar quién ha sido es bien difícil.

Más bien, en lo que las empresas se deben enfocar es tratar de protegerse para no llegar a esa situación. Haciendo correlación, análisis, detección, gestión de usuarios, protección de datos, etcétera. Y luego que detectas el incidente, enfocarse en contención y recuperación. Pero sí, la regulación no está preparada. El GDPR en Europa, que es el General Data Protection Regulation, es la regulación para la protección de datos personales. Eso se implementó hace ya algunos años y tiene multas muy fuertes. Se anunció obviamente con bastante anticipación y entró en vigencia un año después.

Pero con multas muy fuertes para aquella empresa de la Comunidad Europea que tuviera una fuga de datos personales de sus clientes, de sus empleados, de terceros. Eso obligó a las empresas, automáticamente, a revisar sus procesos, todos los esquemas que tenían de protección de datos, de accesos, etcétera. Esto elevó rápidamente el nivel de seguridad con que las empresas gestionaban la información.

MIRA: Play Store y App Store: ¿Qué debemos verificar antes de descargar cualquier app?

Esta iniciativa ha caído luego en países de nuestra región, en Latinoamérica. Por ejemplo, tenemos el caso de Brasil, que hace un año implementó la Ley General de Protección de Datos de modo similar y con multas también para las empresas. Lo hizo con la debida anticipación, lo cual generó, digamos, todo un capítulo de servicios de estudios de abogados orientados a la práctica de privacidad de datos. Y del mismo modo, del servicio de tecnología o soluciones de tecnología orientadas a cómo ayudamos a las empresas a prepararse para la entrada en vigencia de la norma.

En otros países de Latinoamérica estamos un poquito más atrás. En algunos países existe la normatividad, pero no el cumplimiento. No se sigue el cumplimiento de las multas. Entonces, no existe el castigo por incumplirlo, si lo quieres ver así. En Europa te multarían con hasta US$20 millones.

MIRA: Google cifrará las contraseñas en tu dispositivo: ¿cómo activo esta función?

—¿Cómo trabaja IBM para contrarrestar dicho incremento de ciberataques?

Nos acercamos a los clientes, a entender su realidad y ofrecerles nuestra ayuda, nuestra experiencia. Nosotros tenemos un equipo de ciberseguridad de más de 8.000 profesionales a nivel global. Entonces tenemos muchos servicios alrededor del mundo de ciberseguridad. Por ejemplo, consultoría en ciberseguridad, procesos, gestión, cómo están manejando la privacidad de datos, cómo están gestionando la identidad de acceso, la seguridad hacia la nube. Cosas más específicas. Entonces, mucho de eso tiene que ver con servicios de consultoría, análisis de madurez, etcétera. Eso les permite ver dónde están, qué brechas tienen de modo general o específico, y puede terminar en proyectos que necesitan ejecutar para cubrir esas brechas que han sido detectadas.

La segunda parte que trabajamos con nuestros clientes es en ayudarlos a cubrir esas brechas. Si un cliente necesita mejorar su gestión de amenazas, se ve alguna metodología, procesos, plataformas o servicios de detección de amenazas. El famoso Security Operation Center, el SOC. Entonces ayudamos a nuestros clientes con servicios de SOC. Tenemos 8 a nivel global que operan interconectados. Tenemos uno en Brasil y uno en Costa Rica, por ejemplo, que serían los que están acá en Latinoamérica y que, además, comparten información entre ellos de lo que está pasando para automáticamente sea difundido a otros lugares. Están trabajando en equipo con el equipo de inteligencia también y con el laboratorio de desarrollo de productos, por si hay que desarrollar alguna funcionalidad en un producto. Entonces, esas tres patas interconectadas son el pilar de nuestro servicio de gestión de amenazas.

MIRA: WhatsApp: las estafas más comunes (y peligrosas) que podemos sufrir al abrir cualquier enlace

Pero también tienes el caso de clientes que prefieren gestionar ellos mismos su propio SOC y optan por adquirir las plataformas, implementarlas e integrarlas con todas las diferentes fuentes de las cuales van a recolectar datos para correlacionarlos. Entonces también proveemos soluciones de tecnología.

Por ejemplo, QRadar diría que es nuestro pilar o la columna vertebral de toda la práctica de gestión de amenazas de IBM. Proveemos soluciones basadas en QRadar que, durante 12 años consecutivos, ha estado en el Cuadrante Mágico de Gardner. Hacemos la implementación, la transferencia de conocimientos, la integración con las fuentes y todo eso a través de nuestro ecosistema de Business Partners, el cual está bien capacitado, muy bien entrenado y con mucha experiencia, mucho conocimiento de nicho de industria de ciberseguridad. Generalmente las empresas de ciberseguridad son empresas muy especializadas en el tema. Para dar un servicio adecuado en el mercado, es muy importante contar con un ecosistema fuerte de Business Partners.

—IBM tiene el X-Force Command Experience. ¿Cómo es la experiencia en esta simulación de ciberataques?

Espectacular. He estado un par de veces. Una vez me tocó participar y la otra me tocó estar de espectador, porque habíamos llevado un grupo de clientes y de prensa. Es súper interesante, sobre todo la primera vez que lo haces porque es un centro con un ambiente lleno de tecnología. Una sesión puede ser de medio día o de un día completo.

Se hace pasar al grupo de gente que participa, que puede ser el directorio de una empresa, la capa gerencial o el área de respuesta incidentes, etcétera. Se les asigna a cada uno de los participantes un rol diferente. “Mira, tú vas a ser el gerente de recursos humanos, tú vas a ser el líder de relaciones públicas, tú eres, no sé ,gerente general del área legal”, etcétera. El ejercicio inicia con algo aconteciendo, que nadie sabe qué cosa es, pero que después de dos o tres pasos resulta ser un incidente de seguridad, una brecha.

Esta comienza siendo algo aparentemente leve, pero el ejercicio puede llegar a convertirse en algo que puede tener un impacto muy fuerte en el valor de las acciones, la reputación de la marca, atención a los clientes, fuga de información. Muchas cosas que pueden darse de acuerdo al tipo de incidente, a la gravedad del incidente, a cómo fue manejado o cómo es manejado por la capa directiva de la empresa también. Entonces, es un ejercicio interesante en el que sometes a la gente a situaciones de estrés, de presión y de algún modo ellos mismos van viendo cómo reaccionan y cómo lo manejan. Y van viendo errores, y aciertos también.

Entonces, es una dinámica interesante. Las dos o tres veces que yo he tenido la oportunidad de participar o asistir ha sido interesante para mí y para los que han participado. Muy revelador.

MIRA: Aumenta su seguridad: ¿cómo colocar una contraseña a mis archivos más importantes?

—¿La presión o estrés de tener errores ha generado problemas en los participantes?

Nadie llegó a tirar la toalla, de los que yo he visto, pero claramente ves que cometen errores en algún momento. No es un ejercicio real, pero digamos, si se cometiera ese error, podría haber consecuencias nefastas para la empresa.

De repente, alguien sale comentando en redes sociales y tú respondes algo que es capturado y después puesto fuera de contexto. Puede tener un impacto súper perjudicial para tu empresa, para tu marca. Imagínate que un banco tiene una fuga de información gigantesca y no la pueden contener. Una de las cosas que tú vas a querer hacer, tal vez, es ir y sacar tu plata de ese banco. Entonces, si es que no se contiene una fuga de información o una brecha, en una semana un banco puede quebrar. Puede haber un impacto como ese, o el valor de las acciones de una marca cae tanto que todos los accionistas pueden perder mucho dinero.

Entonces, el impacto puede ser importante. De acuerdo al perfil de la industria, la gravedad del incidente, pero, principalmente, cómo la empresa responde ante el incidente. Por eso, el capítulo de respuesta es muy importante. No solo es el punto de vista tecnológico, de contener o identificar el problema, sino en cuanto a la respuesta ante una situación de crisis. Para eso existen, justamente, plataformas, soluciones que te permiten responder ante una crisis estableciendo roles ya predefinidos, según el manual de procesos que tienen.